1. Arbeitstreffen - 21./22. November 2011

Werkzeuge und Methoden für den Security-Scan von Software

Checkliste für sichere Softwareentwicklung

Andreas Postl (Landesbank Baden-Württemberg): Praxisbericht zu IT-Sicherheit bei der Landesbank Baden-Württemberg

  • LBBW IT Security Policy und andere Regelwerke als Grundlage für eine sichere Entwicklung
  • Softwareentwicklungsprozess in der LBBW / Einführung
  • Maßnahmen und Werkzeuge
  • Erfahrungen / Schwachpunkte
  • Fazit

Sebastian Schinzel (Virtual Forge GmbH) und Jürgen Krebs (Voith GmbH):
Statische Quellcode-Analyse in der Praxis - Friend or Foe?

  • Kurze Einführung in die technischen Hintergründe von Statischer Code-Analyse (SCA)
  • Sinnvolle Integration von SCA in den Software-Entwicklungsprozess
  • Bewertung und Umgang mit Schwachstellen aus Sicht des Risikomanagements
  • Erfahrungen aus der Praxis erfolgreicher SCA-Projekte

Holger Wöhle (Vodafone D2 GmbH):
Security-Scanning und der Umgang mit Schwachstellen

  • Organisatorische Einbettung
  • Anforderungen aus Sicherheitsstandards
  • Prozessmodell
  • Verantwortlichkeiten
  • Bei Vodafone eingesetzte Schwachstellenscanner (Qualys, OpenVAS) und die technische Umsetzung sowie Beispiele
  • Ergebnisse aus dem Umgang mit erkannten Schwachstellen und deren Behebung
  • Ausblick

Prof. Dr. Holger Peine (Fachhochschule Hannover): Sicherheitsschwachstellen an der Quelle verhindern: Ansatzpunkte für IT-Sicherheit im Software-Entwicklungsprozess

  • Rolle der Software-Sicherheit in der IT-Sicherheit
  • Analyse, Entwurf, Implementierung: Wo können welche Schwachstellen eingeschleppt werden?
  • 7 Schwachstellen (darunter 1 Live-Demo) zum Üben: Wann werden sie eingeschleppt? Wo liegen ihre Ursachen?

Workshop unter der Moderation von Prof. Dr. Holger Peine: Checkliste für sichere Softwareentwicklung:

zu den Dokumenten der Arbeitstreffen

Ansprechpartnerin

Yvonne Weißflog, Veranstaltungsmanagerin
Bild von Yvonne Weißflog